The bleeding itself
De (ICT) wereld staat op zijn kop: Heartbleed kruipt onder het beschermingsschild van vele websites en verovert wachtwoorden, creditcardnummers en daarmee allerlei informatie die niet bedoeld is openbaar te worden gemaakt. Heartbleed is een probleem met OpenSSL. Deze software zorgt voor SSL/TLS beveiliging voor websites. Nu de software een fout bevat, draagt deze (ongewild) informatie over, welke in het geheugen is opgeslagen. Nadat een foutief Heartbeat verzoek is verstuurd, wordt door de server willekeurig een stuk data van 64 Kb meegezonden. Door herhaling van dit verzoek kunnen hackers beveiligd verkeer afluisteren. Hierdoor bestaat een kans dat een ingang wordt verschaft tot beveiligde informatie. Het is dan ook verstandig uw eigen site te testen op een Heartbleed-attack.
Bescherming
Onderstaande 4 tips bieden bescherming tegen Heartbleed:
Bescherming eigen website
– De versies OpenSSL 1.0.1 tot en met 1.0.1f bevatten de bug. Onze shared hosting klanten draaien op servers die geen last hebben van de bug. Mocht u klant zijn met een eigen server (met support contact) en denkt u te maken te hebben met debug? Neem dan contact met ons op. Wij zoeken de zaak dan voor u uit en lossen deze op. Indien u klant bent zonder support contract, dan is het raadzaam versie 1.0.1g te downloaden. Dat is mogelijk via deze link. Klik op ‘openssl-1.0.1g.tar.gz’ om de download mogelijk te maken. Daarnaast is het raadzaam om certificaten en de bijbehorende private sleutels te vervangen indien deze op een kwetsbare server gebruikt zijn. Met ‘kwetsbaar’ wordt gedoeld op een website die gebruik maakt van een versie van OpenSSL 1.0.1 tot en met 1.0.1f en daarmee risico loopt.
Als internetgebruiker
– Indien je gebruik maakt van Google Chrome kan Chromebleed worden aangewend, zodat een waarschuwing wordt gegeven indien een onveilige site wordt bezocht. Bovendien geeft Chromebleed een waarschuwing bij geïnfecteerde google resultaten. Ga naar deze link en klik op ‘+ GRATIS’. Klik daarna op ’toevoegen’ om de exensie/app toe te voegen.
– Daarnaast is het slim accounts op sites getroffen door Heartbleed, niet te gebruiken, om zo het risico te verminderen. Wanneer u een bevestiging krijgt van een ‘security patch’, verander dan de wachtwoorden van uw accounts. Raadzaam is om het account van uw bank of email eerst te veranderen, omdat deze veelal de meest belangrijke zijn.
– Geef Heartbleed geen kans door bankgegevens in de gaten te houden en te checken op eventuele problemen. Door deze regelmatig te checken kunnen eventuele problemen snel aan de kaak worden gesteld.
– Indien u gebruik maakt van het freeware-wachtwoordmanagementprogramma ‘Lastpass’, bestaat de mogelijkheid tot het scannen van de wachtwoordendatabase, om zo te bepalen welke wachtwoorden eventueel gewijzigd dienen te worden.
Aanpakken
Bovenstaande tips kunnen gebruikt worden om uzelf zo goed mogelijk te beschermen tegen deze bug. Qweb staat klanten bij die vragen hebben met betrekking tot dit onderwerp. Tot noch toe is binnen ons bereik geen enkel probleem voorgevallen en hebben wij iedere klant gerust kunnen stellen. Indien u vragen heeft kunt u mailen naar info@qweb.nl. Wij staan voor u klaar.